JWT erklärt: Struktur, Sicherheit und häufige Fehler

JWT vereinfacht die zustandslose Authentifizierung, erleichtert aber auch die Verteilung schwer revozierbarer Credentials. Validierungsdisziplin ist wichtiger als Bequemlichkeit.

Die drei Teile

Ein JWT hat Header, Payload und Signature. Der Payload ist standardmäßig nicht verschlüsselt und darf daher keine Geheimnisse oder sensible Informationen enthalten.

Was Sie immer validieren müssen

• Erlaubte Algorithmen explizit festlegen
• exp, iss und aud prüfen
• Kurzlebige Access Tokens verwenden
• Separate Refresh Tokens, wenn nötig

Revozierung und Betrieb

Da ein bereits ausgestelltes JWT schwer zurückzuziehen ist, empfiehlt sich die Kombination aus kurzem TTL, Schlüsselrotation und, wenn nötig, Revozierungslisten.

Praxistipp

Untersuchen Sie Tokens mit lokalen Tools wie JWT Inspector. Echte Tokens an externe Decoder zu senden ist eine schlechte betriebliche Praxis.